与时俱进反映民声的个人信息保护法(草案).docxVIP

与时俱进反映民声的个人信息保护法(草案) 第一，采用一般性规范与专门性规范相结合的方式，建构有重点、分层次的个人信息保护体制草案作为我国个人信息保护领域的基本法，需要对涉及的个人信息活动进行全景式规则设计。一方面，明确了个人信息处理的合法、正当、目的明确、必要、公开透明、质量及责任原则，为不同场景下个人信息的处理活动提供基本指引；另一方面对于个人信息的收集、存储、使用、加工、传输、提供、公开等全生命周期的处理行为进行一般性规范，确立个人信息处理的合法性事由，明确了个人享有知情权、决定权、限制或拒绝权、查阅复制权、更正补充权、删除权等基本信息权益及信息处理者负有安全保障、合规审计、风险评估、信息泄露补救等核心义务。同时，考虑到敏感个人信息等特殊类别信息以及国家机关等特殊信息处理主体，专门制定了有别于一般规范的特殊处理规则。其中，对于敏感个人信息的处理条件更为严格，不仅必须具有“特定的目的和充分的必要性”，而且在同意的取得方式上，要求取得个人的单独同意或者书面同意。相较而言，国家机关及法律法规授权的组织基于法定职责处理个人信息，鉴于其公益性、职权性的特点，在告知同意方面需作出一定的例外规定，如基于保密规定或告知同意将妨碍国家机关履行职责的情形，并要求其处理的个人信息应境内存储以及进行风险评估。草案还特别强调了国家机关处理个人信息“不得超出履行法定职责所必需的范围和限度”，回应了公众对公权力机关过度获取个人信息的担忧。在个人信息处理者的义务方面，草案二审稿第57条特别增加了“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务，即“应当成立主要由外部人员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督”。应该说，仅仅依赖有限的行政监管资源对数量众多的企业实施外部监管难免挂一漏万。从监管的实效性考量，有必要对提供App操作系统、搭载第三方小程序平台、提供应用程序下载服务的平台等互联网头部企业施以更重的义务，毕竟上述企业拥有相应的技术、资源及能力对使用其所管理的通道、技术服务以及运营环境等其他个人信息处理者进行实时监控。而且，互联网头部企业已经成长为推动数字经济发展的重要力量，有义务回馈社会以维护其运作的外部环境，这就是其所应承担的社会责任。第二，对新技术应用带来的新风险及时进行法律规制，预防技术滥用、引导科技向善在大数据、云计算、人工智能等技术广泛应用于个人信息处理活动的新形势下，个人信息可以被快速、便捷地采集、存储、搜索及传递，轰炸式精准营销、算法劳工、无感化人脸识别、大数据杀熟等事件频发，对个人信息保护提出了新的问题。为此，如何引导科技向善、对技术滥用进行预防性控制就是草案不可推卸的责任和使命。草案第25条第2款规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。草案第27条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。这里，特别强调了“所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的”，以防止人脸识别等身份识别技术的滥用。同时，草案还要求国家网信部门统筹协调有关部门，针对人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。也就是说，以专项规定的形式对新技术可能对个人信息保护带来的负面影响进行相应的法律规制，以防止科技异化或吞噬个人隐私及信息安全。第三，建立个人信息跨境提供规则，在保障安全的基础上促进个人信息的有序流动草案第38条规定了基于业务需要，确需向境外提供个人信息的条件：（1）依法通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到法定的保护标准；（4）法律、行政法规或者国家网信部门规定的其他条件。对于个人信息处理者的告知义务也作了较为详细的规定，要求取得个人的单独同意。同时，第40条规定关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者，应当本地化存储。应该说，草案并未采用欧盟的“充分性保护原则”对个人信息出境苛以更高的要求和标准，而是在规范个人信息处理者信息出境义务的基础上，综合运用监管机构安全评估、第三方认证以及双方协议等多元化治理方式，促进个人信息的有序跨境流动。第四，明确个人信息保护的监管主体及其权限和职责，以保障执法工作落地见效从世界范围内来看，个人信息保护监管设置有两种方式：一是以欧盟为代表的统一监管模式，